Herramienta SQL Escape Gratuita Online
Escapa comillas simples en cadenas SQL de forma segura — gratis, solo en el navegador.
Entrada
Salida
¿Qué es el escape SQL?
¿Alguna vez has construido una consulta SQL con entrada del usuario y se ha roto porque alguien escribió un nombre como O'Brien? Ese apóstrofe rompe la consulta — y peor aún, sin escape, abre la puerta a ataques de inyección SQL, una de las vulnerabilidades más comunes del OWASP Top 10. El escape SQL convierte caracteres especiales para que las cadenas se puedan incrustar de forma segura en consultas SQL. Aunque las consultas parametrizadas son el estándar recomendado, el escape manual sigue siendo necesario en sistemas heredados o generación dinámica de SQL. Referencias: documentación de strings de PostgreSQL y literales de cadena MySQL.
El escape más común en SQL es doblar las comillas simples: ' se convierte en ''.
Cómo usar la herramienta SQL Escape
Pega tu cadena SQL
Pega la cadena SQL que quieres escapar en el editor de entrada.
Elige un modo
Selecciona Escapar o Des-escapar.
Copiar o descargar
Copia el resultado o descárgalo como archivo .sql.
Ejemplo de escape SQL
Aquí hay un ejemplo de escape de cadena SQL:
Cadena SQL sin escapar
Cadena SQL escapada
¿Cuándo importa el escape SQL?
Siempre escapa la entrada del usuario antes de incluirla en consultas SQL para prevenir inyecciones SQL.
Para formatear tus consultas SQL, prueba el formateador SQL.
Preguntas frecuentes
¿Qué caracteres maneja el escape SQL?
Las comillas simples ' se doblan a '' (SQL estándar). Las barras invertidas \ se doblan a \\ (MySQL y otros). Cubre MySQL, PostgreSQL, SQLite y SQL Server.
¿Debo usar escape SQL en lugar de consultas parametrizadas?
No — las consultas parametrizadas son siempre el enfoque preferido para código nuevo. El escape SQL es útil en sistemas heredados o cuando necesitas sanear datos fuera del código de la aplicación.
¿Funciona para MySQL, PostgreSQL y SQL Server?
Sí para casos comunes. Doblar comillas simples es estándar en todas las bases de datos principales. El escape de barras invertidas es específico de MySQL — PostgreSQL usa comillas dobles estándar o strings E'...'.
¿Se envían mis datos SQL a un servidor?
No. Todo se procesa en tu navegador. Tus strings SQL nunca salen de tu dispositivo — sin backend, sin registros.
¿Qué es la inyección SQL y cómo ayuda el escape?
La inyección SQL es un ataque donde entradas maliciosas ejecutan comandos SQL no deseados. El escape correcto evita que los caracteres inyectados se interpreten como sintaxis SQL.
Herramientas relacionadas
Referencias: OWASP SQL Injection